GitLab 釋出安全補丁版本 17.3.2, 17.2.5, 17.1.7

本分分享極狐GitLab 補丁版本 17.4.2, 17.3.5, 17.2.9 的詳細內容。這幾個版本包含重要的缺陷和安全修復程式碼，我們強烈建議所有私有化部署使用者應該立即升級到上述的某一個版本。對於極狐GitLab SaaS，技術團隊已經進行了升級，無需使用者採取任何措施。

極狐GitLab 正式推出面向 GitLab 老舊版本免費使用者的專業升級服務，為 GitLab 老舊版本進行專業升級，詳情可以檢視官網 GitLab 專業升級服務指南 【https://dl.gitlab.cn/et1zcbjj】

漏洞詳情

標題	嚴重等級	CVE ID
以停止操作作業的擁有者身份執行環境停止操作	嚴重	CVE-2024-6678
防止在產品分析漏洞 YAML 中進行程式碼注入	高危	CVE-2024-8640
透過依賴項代理進行 SSRF 攻擊	高危	CVE-2024-8635
透過傳送特定 POST 請求導致的 DoS 攻擊	高危	CVE-2024-8124
CI_JOB_TOKEN 可以被用來獲取 GitLab 會話令牌	中等	CVE-2024-8641
包含模板的情況下，設定中的變數不會被 PEP 覆蓋	中等	CVE-2024-8311
訪客可以透過自定義群組模板洩露整個原始碼倉庫	中等	CVE-2024-4660
在 repo/tree/:id 端點中的開放重定向可能導致透過受損的OAuth流程進行賬戶接管	中等	CVE-2024-4283
在釋出永久連結中存在的開放重定向問題可能導致透過受損的OAuth流程進行賬戶接管	中等	CVE-2024-4612
具有管理群組成員許可權的訪客使用者可以編輯自定義角色來獲得其他許可權	中等	CVE-2024-8631
透過濫用按需 DAST，洩露受保護和被掩蓋的 CI/CD 變數	中等	CVE-2024-2743
當倉庫映象失敗會洩露憑據資訊	中等	CVE-2024-5435
訪客使用者可以透過版本原子端點檢視程式碼提交資訊	中等	CVE-2024-6389
依賴代理憑據在 graphql 日誌中以明文形式記錄	中等	CVE-2024-4472
使用者應用程式可以偽造重定向 URL	低	CVE-2024-6446
群組開發者可以檢視群組 Runner 資訊	低	CVE-2024-6685

CVE-2024-6678

在該漏洞下，攻擊者可以以停止操作作業的擁有者身份執行環境停止操作。影響從 8.14 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個嚴重級別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-6678。

CVE-2024-8640

在該漏洞下，由於輸入過濾不完全，可以透過連線的Cube伺服器注入命令，從而形成攻擊。影響從 16.11 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個嚴重級別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N, 8.5https://gitlab-com.gitlab.io/gl-security/product-security/appsec/cvss-calculator/explain#explain=CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-8640。

CVE-2024-8635

在該漏洞下，攻擊者可能透過使用自定義的 Maven 依賴代理 URL 來向內部資源傳送請求。影響從 16.8 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個嚴重級別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N, 7.7https://gitlab-com.gitlab.io/gl-security/product-security/appsec/cvss-calculator/explain#explain=CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-8635。

CVE-2024-8124

在該漏洞下，攻擊者可能透過傳送特定的 POST 請求來引起 DoS 攻擊。影響從 16.4 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個嚴重級別的安全問題（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H, 7.5https://gitlab-com.gitlab.io/gl-security/product-security/appsec/cvss-calculator/explain#explain=CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-8124。

CVE-2024-8641

在該漏洞下，攻擊者可以透過受害者的 CI_JOB_TOKEN 來獲取屬於受害者的 GitLab 會話令牌。影響從 13.7 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個嚴重級別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:L, 6.7https://gitlab-com.gitlab.io/gl-security/product-security/appsec/cvss-calculator/explain#explain=CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-8641。

CVE-2024-8311

在該漏洞下，授權使用者可以透過包含 CI/CD 模板來繞過變數覆蓋保護。影響從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個嚴重級別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N, 6.5）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-8311。

CVE-2024-4660

在該漏洞下，訪客可以透過使用群組模板來讀取私有專案的原始碼。影響從 11.2 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個嚴重級別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N, 6.5）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-4660。

CVE-2024-4283

在該漏洞下，在 repo/tree/:id中開啟重定向可能導致賬戶被受損的 OAuth 工作流所接管。影響從 11.1 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一箇中等級別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N, 6.4）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-4283。

CVE-2024-4612

在該漏洞下，特定情況下開啟重定向漏洞可能允許賬戶被受損的 OAuth 工作流所接管。影響從 12.9 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一箇中等級別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N, 6.4）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-4612。

CVE-2024-8631

在該漏洞下，被分配了管理員組成員自定義角色的使用者可能已經提升了他們的許可權，包括其他自定義角色。影響從 16.6 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一箇中等級別的安全問題（CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:N, 5.5）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-8631。

CVE-2024-2743

在該漏洞下，攻擊者可以在沒有許可權的條件下對按需 DAST 進行修改進而造成變數洩露。影響從 13.3 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一箇中等級別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N, 5.3）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-2743。

CVE-2024-5435

在該漏洞下，使用者密碼可能從倉庫映象配置中被洩露出去。影響從 15.10 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一箇中等級別的安全問題（CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N, 4.5）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-5435。

CVE-20240-6389

在該漏洞下，作為訪客使用者的攻擊者能夠透過釋出Atom端點訪問提交資訊，這違反了許可權設定。影響從 17.0 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一箇中等級別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-6389。

CVE-20240-4472

在該漏洞下，graphql 日誌中的依賴代理憑據是以明文形式記錄的。影響從 16.5 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一箇中等級別的安全問題（CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 4.0）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-4472。

CVE-2024-6446

在該漏洞下，一個精心偽造的 URL 可以被用來對受害者進行欺騙，以便讓其相信被攻擊者控制的應用程式。影響從 17.1 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個低階別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N, 3.5）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-6446。

CVE-2024-6685

在該漏洞下，群組 Runner 資訊可能會被洩露給非授權的群組成員。影響從 16.7 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個低階別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N, 3.1）。現在這個問題在最新版本中已經得到了修復，同時被分配為 CVE-2024-6685。

受影響版本

CVE-2024-6678

• 8.14 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8640

• 16.11 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8635

• 16.8 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8124

• 16.4 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8641

• 13.7 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8311

• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-4660

• 11.2 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-4283

• 11.1 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-4612

• 12.9 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8631

• 16.6 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-2743

• 13.3 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-5435

• 15.10 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-6389

• 17.0 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-4472

• 16.5 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-6446

• 17.1 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-6685

• 16.7 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

建議的操作

我們強烈建議所有受以下問題描述所影響的安裝例項儘快升級到最新版本。當沒有指明產品部署型別的時候（omnibus、原始碼、helm chart 等），意味著所有的型別都有影響。

對於GitLab/極狐GitLab 私有化部署版的使用者，透過將原有的GitLab CE/EE/JH升級至極狐GitLab 17.3.2-jh、17.2.5-jh、17.1.7-jh 版本即可修復該漏洞。詳情可以檢視極狐GitLab 官網

Omnibus 安裝

使用 Omnibus 安裝部署的例項，升級詳情可以檢視極狐GitLab 安裝包安裝升級文件。

Docker 安裝

使用 Docker 安裝部署的例項，可使用如下三個容器映象將產品升級到上述三個版本：

registry.gitlab.cn/omnibus/gitlab-jh:17.3.2-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.2.5-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.1.7-jh.0

升級詳情可以檢視極狐GitLab Docker 安裝升級文件。

Helm Chart 安裝

使用雲原生安裝的例項，可將使用的 Helm Chart 升級到 8.4.1(對應 17.4.1-jh）、8.3.4（對應 17.3.4-jh）、8.2.8（對應 17.2.8-jh）、8.0.8（對應 17.0.8）以及 7.11.10（對應 16.11.10）來修復該漏洞。升級詳情可以檢視 Helm Chart 安裝升級文件。

JH 版本	17.3.2	17.2.5	17.1.7
Chart 版本	8.3.2	8.2.5	8.1.7

對於SaaS使用者（jihulab.com），無需進行任何操作，我們已經升級SaaS以修復該漏洞。

極狐GitLab 技術支援

極狐GitLab 技術支援團隊對付費客戶GitLab（基礎版/專業版）提供全面的技術支援，您可以透過https://support.gitlab.cn/#/portal/myticket 將問題提交。

如果您是免費使用者，需要升級服務，可以檢視極狐GitLab 正式推出的 GitLab 專業升級服務

新版本修復的缺陷

17.3.2

• UBI：將 openssl gem 版本限制回溯到 17-3-stable
• 回溯 "禁用 release-environments 管道的 allow_failure"
• 修復在 RTE 中調整影像大小時的問題
• 透過 API 列出專案的問題修復回溯
• 將滑動列表策略的鎖定重試超時回溯到 17-3
• 回溯歸檔過濾器迴歸錯誤修復
• 確保在更新訪問資料時更新 updated_at
• 將 OpenSSL v3 呼叫回溯到 17.3
• 隔離 pypi 包登錄檔規範
• 修復當 GITLAB_LOG_LEVEL 設定為 debug 時 Sidekiq 崩潰的問題
• [17.3 回溯] 將 OpenSSL 升級到 3.2.0 版本
• 回溯——17.3：在初始化時移除對Elasticsearch的呼叫
• 將 OpenSSL 降到 1.1.1 版本
• [17.3回溯]：啟用 CentOS 7

17.2.5

• 回溯 "禁用 release-environments 管道的 allow_failure" 設定
• 標記時始終構建資產映象
• 更新 google-cloud-core 和 google-cloud-env gems
• 回溯到 17.2：修復 Geo 複製詳細資訊錯誤地為空的問題
• 將 OpenSSL v3 呼叫回溯到 17.2
• 回溯到 17.2：修復 JobArtifactState 查詢超時問題
• CI：在釋出前新增基本包功能測試（17.2 回溯）
• 使用最新的構建器映象進行 check-packages 管道（17.2 回溯）
• [17.2 回溯] 棄用 CentOS 7

17.1.7

• 回溯 "禁用 release-environments 管道的 allow_failure" 設定
• 回溯到 17.1：修復 Geo 複製詳細資訊檢視的問題
• 將 OpenSSL v3 呼叫回溯到 17.1
• 回溯到 17.1：修復 JobArtifactState 查詢超時問題
• CI：在釋出前新增基本包功能測試（17.1 回溯）
• 使用最新的構建器映象進行 check-packages 管道（17.1 回溯）
• [17.1 回溯] 棄用 CentOS 7